사기의 바다를 건너는 등대: 한국편

사례·심리·대응·회복, 우리에게 필요한 한 권. 30장

Part IV. 생애주기·대상별 방어 전략

30장. 대기업·공공:

CEO Fraud·공급망 피싱·내부 통제 강화 체크리스트

30-A. 권위의 공격: CEO Fraud는 왜 통하는가

“위에서 내려온 말은, 가장 검증되지 않은 말이다”

대기업과 공공기관은 늘 이렇게 말한다.
“우리는 보안 교육을 다 받았다.”
“이 정도는 이미 알고 있다.”
“우리 조직에서 그런 단순한 사기는 통하지 않는다.”

그런데 현실은 정반대다.
가장 큰 금액의 송금 사고는,
가장 체계적인 조직에서 발생한다.

그 이유는 간단하다.
CEO Fraud는 시스템을 공격하지 않는다.
조직의 ‘권위’와 ‘속도’를 공격한다.

1. CEO Fraud의 전형적 장면

메일은 짧다.
메신저는 개인적이다.
톤은 단호하고, 이유는 설명되지 않는다.

“지금 당장 처리해 주세요.”
“외부에는 절대 공유하지 마세요.”
“이건 제가 책임질 사안입니다.”

이 메시지에는 기술이 거의 없다.
악성코드도, 해킹도 없다.
오직 조직 내부의 신뢰 구조만을 이용한다.

공격자는 알고 있다.
이 메시지를 받은 사람은 지금 세 가지에 동시에 묶인다는 것을.

위에서 내려온 지시라는 압박

지연하면 문제가 될 수 있다는 공포

혼자 판단해야 한다는 고립

CEO Fraud는 늘 한 사람을 고립시킨다.
회의를 열지 못하게 하고,
동료에게 묻지 못하게 하고,
절차를 건너뛰게 만든다.

2. 왜 대기업·공공에서 더 잘 통하는가

아이러니하게도,
조직이 클수록 CEO Fraud는 성공 확률이 높아진다.

이유는 세 가지다.

첫째, 위계가 명확할수록 의심은 무례가 된다.
“사장님 지시를 다시 확인해요?”
이 질문은 많은 조직에서
‘신중함’이 아니라 ‘문제 제기’로 받아들여진다.

둘째, VIP 건에는 늘 예외가 있다.
대기업과 공공기관은
문서상으로는 절차가 엄격하다.
하지만 실제로는 늘 이렇게 말한다.

“이건 급한 건이니까 예외로 처리하자.”

CEO Fraud는 이 예외의 문만을 노린다.

셋째, 책임이 개인에게 전가되는 구조
공격자는 말한다.

“이건 네 판단이 중요해.”

이 순간,
조직의 결정은 개인의 결단으로 바뀐다.
사람은 혼자 책임을 질 때
가장 위험한 선택을 한다.

3. CEO Fraud가 사용하는 심리 트리거 4가지

CEO Fraud는 언제나 이 네 가지를 함께 사용한다.

① 권위 복종
직급, 직함, 말투 —
‘위에서 내려왔다’는 느낌 하나로
검증 회로를 차단한다.

② 긴급성
“오늘”, “지금”, “곧 마감”
시간을 줄이면, 사고는 깊어진다.

③ 비밀 유지 요구
“외부 공유 금지”는
사실상 “교차 검증 금지”라는 뜻이다.

④ 개인 책임 전가
“이건 네 판단이야”라는 말은
조직을 보호하는 문장이 아니라,
개인을 고립시키는 문장이다.

이 네 가지가 동시에 등장한다면,
그 지시는 업무가 아니라 공격일 가능성이 높다.

4. 기술 문제가 아니라, 문화의 문제

CEO Fraud 사고 이후
조직은 흔히 이렇게 대응한다.

담당자 징계

교육 강화

매뉴얼 추가

그러나 진짜 원인은 그대로 남는다.

“위에서 내려온 지시는 검증 대상이 아니다.”
이 믿음이 바뀌지 않는 한,
다음 사고는 시간문제다.

보안이 강한 조직이란
의심하지 않는 조직이 아니다.

의심해도 안전한 조직이다.

확인해도 불이익이 없고

멈춰도 질책받지 않으며

“다시 확인했습니다”가
능력 부족이 아닌 성과가 되는 조직

CEO Fraud는
그 반대의 조직 문화를 정확히 골라 공격한다.

30-A의 결론

CEO Fraud는
기술의 문제가 아니다.
사람의 문제가 아니다.

조직이 ‘속도와 충성’을
‘검증과 절차’보다 앞세울 때,
그 조직은 이미 열려 있다.